EuGH: „Privacy-Shield-Beschluss“ ungültig - Handlungsbedarf für Unternehmen!

EuGH, Urteil vom 16.07.2020 - C-311/18 („Schrems-II“)

Der Datenschützer Max Schrems erzielt einen weiteren Erfolg vor dem Europäischen Gerichtshof (EuGH). Bereits 2015 hatte Schrems durch den EuGH die Unwirksamkeit der „Safe Harbour-Entscheidung“, dem Vorgänger des „Privacy Shield“, erreicht.

Einige hatten es erwartet – und doch ist es eine kleine Sensation:

Mit seinem heute verkündeten Urteil stellt der Europäische Gerichtshof zum europäischen Datenschutzrecht bezüglich des Verhältnisses EU-USA fest, dass der sog. „Privacy-Shield-Beschluss“ der Europäischen Kommission vom 12.06.2016 ungültig ist (EuGH, Urteil vom 16.07.2020 - C-311/18 („Schrems-II“)).

Schon im Jahr 2015  hatte der Europäische Gerichtshof auf ein Vorabentscheidungsersuchen des irischen High Court hin die sogenannte „Safe-Harbour-Entscheidung“ für ungültig erklärt mit der Begründung, die Vereinigten Staaten würden kein angemessenes Schutzniveau gewährleisten (EuGH, Urteil vom 06.10.2015 - C-362/14 („Schrems-I“)).

Die Europäische Kommission erließ daraufhin den Beschluss über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes („Privacy Shield“). Dieser ist nunmehr für ungültig erklärt worden, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind und keine ausreichenden Vorschriften existieren, die betroffenen Personen Rechte verleihen, welche gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.

EuGH stoppt den EU-US Privacy Shield  (Copyright: hkama/stock.adobe)

Hintergrund:

Die Datenschutz-Grundverordnung (DSGVO) knüpft, wie bereits die DSRL, besondere Bedingungen an die Übermittlung personenbezogener Daten in ein sog. „Drittland“ außerhalb der Europäischen Union. Personenbezogene Daten dürfen grundsätzlich nur dann in ein Drittland übermittelt werden, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Die Kommission kann aber feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet. Übermittlungen innerhalb der Europäischen Union profitieren hingegen von der Annahme eines gleichwertigen Schutzniveaus.

Bei der Entscheidung über die Ungültigkeit des „Privacy-Shield-Beschluss“ geht ein wenig unter, dass der EuGH zugleich den Beschluss der Kommission vom 05.02.2010 (2010/87/EU) über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern für gültig erklärt hat.

Hinweis für die Praxis:

Das Urteil stellt viele Unternehmen nun vor die Herausforderung, ihre Datenübermittlungen sicher und rechtskonform zu gestalten.

Datenübermittlungen in die USA sind nunmehr – möglicherweise bald ähnlich wie Datenübermittlungen in das Vereinigte Königreich - mit hohen Risiken verbunden, sofern von den Betroffenen keine wirksamen Einwilligungen eingeholt worden sind. Einwilligungen dürften jedoch in vielen Fällen weder eingeholt worden noch dürfte diese Lösung für Unternehmen für die Zukunft praktikabel sein.

Ein Rückgriff auf die sog. „EU-Standardvertragsklauseln“ anstatt des „Privacy Shield“ könnte zunächst eine gewisse Zeit ein Mehr an Sicherheit bieten. Es könnte aber für Unternehmen äußerst schwierig sein, die Einhaltung der Vorgaben durch das Empfänger-Unternehmen in den USA nachzuweisen. Es dürfte nicht ausreichen, schlicht die EU-Standardvertragsklauseln zu vereinbaren. Vielmehr werden Unternehmen konkret prüfen müssen, welchem Risiko die Daten bzw. die Betroffenen im Drittland ausgesetzt sind.

Unternehmen sollten in jedem Falle dennoch kurzfristig

  • feststellen, ob und welche personenbezogenen Daten sie – oder von ihnen beauftragte Unternehmen für sie (!)- in die USA übermitteln und
  • für diese Übermittlungen EU-Standarddatenschutzklauseln mit den Empfängern abschließen.

Weitere Maßnahmen, wie beispielsweise Verschlüsselungen oder, wo möglich, sogar Anonymisierungen, sind anzuraten.

Wir empfehlen Ihnen, das Thema auf jeden Fall ernst zu nehmen, um Bußgelder und Untersagungsverfügungen zu vermeiden. Gern unterstützen wir Sie bei individuellen Prüfungen oder Fragen.

zurück